Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um cenário comum do Azure Lighthouse envolve um provedor de serviços que gerencia recursos nos locatários do Microsoft Entra dos seus clientes. As funcionalidades do Azure Lighthouse também podem ser usadas para simplificar o gerenciamento entre locatários em uma empresa que usa vários locatários do Microsoft Entra. Nesse cenário, os usuários em um dos locatários da empresa podem executar tarefas de gerenciamento em outros locatários por meio do Azure Lighthouse, sem exigir que nenhum outro provedor de serviços esteja envolvido.
Locatários únicos versus múltiplos
Para a maioria das organizações, o gerenciamento é mais fácil com um único locatário do Microsoft Entra. Ter todos os recursos em um locatário permite a centralização de tarefas de gerenciamento por usuários, grupos de usuários ou entidades de serviço designados dentro desse locatário. É recomendável usar um locatário para sua organização sempre que possível.
Algumas organizações podem precisar usar vários locatários do Microsoft Entra. Essa pode ser uma situação temporária, como quando ocorreram aquisições e uma estratégia de consolidação de locatários de longo prazo ainda não está definida. Em outros casos, as organizações talvez precisem manter vários locatários de modo contínuo. Isso ocorre devido a fatores como subsidiárias totalmente independentes, requisitos geográficos ou legais etc.
Nos casos em que é necessário obter uma arquitetura multilocatário, o Azure Lighthouse poderá ajudar a centralizar e simplificar operações de gerenciamento. Usando o Azure Lighthouse, os usuários em um locatário gerenciador podem executar funções de gerenciamento entre locatários de modo centralizado e escalonável.
Arquitetura de gerenciamento de locatários
Para usar o Azure Lighthouse em uma empresa, você precisa determinar qual locatário incluirá os usuários que executam operações de gerenciamento nos outros locatários. Em outras palavras, você designa um locatário como locatário responsável pelos outros locatários.
Por exemplo, digamos que sua organização tem um único locatário que chamaremos de Locatário A. Em seguida, sua organização adquire Locatário B e Locatário C, e você tem motivos comerciais que exigem que você os mantenha como locatários separados. No entanto, você deseja usar as mesmas definições de política, práticas de backup e processos de segurança para todos eles, com tarefas de gerenciamento executadas pelo mesmo conjunto de usuários.
Como o Locatário A já inclui usuários em sua organização que têm executado essas tarefas para o Locatário A, você pode designar o Locatário A como o locatário de gerenciamento. Em seguida, você pode integrar assinaturas no Locatário B e no Locatário C para que elas sejam delegadas ao Locatário A. Durante o processo de integração, você cria autorizações que concedem permissões aos usuários no Locatário A, permitindo que eles executem tarefas de gerenciamento entre o Locatário B e o Locatário C.
Considerações sobre segurança e acesso
Na maioria dos cenários corporativos, você desejará delegar uma assinatura completa ao Azure Lighthouse. Também é possível optar por delegar somente grupos de recursos específicos em uma assinatura.
De qualquer forma, siga o princípio do privilégio mínimo ao definir quais usuários podem acessar recursos delegados. Fazer isso ajuda a verificar se os usuários só têm as permissões necessárias para executar as tarefas necessárias e reduz a chance de erros inadvertidos.
O Azure Lighthouse fornece links lógicos somente entre um locatário gerenciador e locatários gerenciados, em vez de migrar dados ou recursos de modo físico. Além disso, o acesso sempre vai em apenas uma direção, do locatário gerenciador para os locatários gerenciados. Os usuários e grupos no locatário de gerenciamento devem usar a autenticação multifator ao executar operações de gerenciamento em recursos de locatário gerenciados.
As empresas com proteções de governança e conformidade internas e externas podem usar os Logs de atividade do Azure para atender aos seus requisitos de transparência. Quando os locatários corporativos estabelecem relacionamentos entre um locatário gerenciador e os locatários gerenciados, os usuários de cada locatário podem exibir a atividade registrada para visualizar ações executadas por usuários do locatário gerenciador.
Para saber mais, confira Práticas de segurança recomendadas.
Considerações sobre a integração
As assinaturas (ou grupos de recursos dentro de uma assinatura) podem ser integradas ao Azure Lighthouse com a implantação de modelos do Azure Resource Manager ou por meio de ofertas de Serviços Gerenciados publicadas no Azure Marketplace.
Como os usuários corporativos normalmente têm acesso direto aos locatários da empresa e não há necessidade de comercializar ou promover uma oferta de gerenciamento, geralmente é mais rápido e simples implantar modelos do Azure Resource Manager. Embora as diretrizes de integração mencionem os provedores de serviços e os clientes, as empresas podem usar os mesmos processos para integrar locatários.
Se preferir, os locatários em uma empresa poderão ser integrados publicando uma oferta de Serviços Gerenciados no Azure Marketplace. Para garantir que a oferta só esteja disponível para os locatários apropriados, certifique-se de que seus planos estão definidos como privados. Com um plano privado, é possível fornecer IDs da assinatura para cada locatário que você planeja integrar. Além disso, ninguém mais poderá obter sua oferta.
ID Externa do Microsoft Entra
ID Externa do Microsoft Entra fornece a identidade de negócios para cliente como serviço. Ao delegar um grupo de recursos por meio do Microsoft Azure Lighthouse, você pode usar o Microsoft Azure Monitor para rotear os logs de entrada e auditoria da Microsoft Entra External ID para diversas soluções de monitoramento. Você pode reter os logs para uso de longo prazo ou integrá-lo com ferramentas de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para obter informações sobre seu ambiente.
Para obter mais informações, consulte Configurar o Azure Monitor em locatários externos.
Observações sobre terminologia
Para executar um gerenciamento entre locatários dentro de uma empresa, use as mesmas diretrizes aplicadas a provedores de serviços e descritas na documentação do Azure Lighthouse em um locatário gerenciador da empresa, ou seja, o locatário com usuários que gerenciarão recursos em outros locatários por meio do Azure Lighthouse. Do mesmo modo, use diretrizes aplicadas a clientes em locatários que delegam recursos a serem gerenciados por meio de usuários do locatário gerenciador.
Por exemplo, no exemplo descrito acima, o Locatário A pode ser pensado como um locatário de provedor de serviços (o locatário gerenciador) e o Locatário B e o Locatário C podem ser pensados como os locatários do cliente.
Nesse exemplo, os usuários do Locatário A com permissões apropriadas podem exibir e gerenciar recursos delegados na página Meus clientes do portal do Azure. Da mesma forma, os usuários do Locatário B e do Locatário C com as permissões apropriadas podem exibir e gerenciar detalhes sobre suas delegações na página provedores de serviços do portal do Azure.
Próximas etapas
- Explore as opções para a organização de recursos em arquiteturas de multilocatários.
- Saiba mais sobre as experiências de gerenciamento entre locatários.
- Saiba mais sobre como o Azure Lighthouse funciona.